Bilgisayar korsanları ganimet arıyor: Yeni macOS arka kapısı kripto para birimi cüzdanlarını hedef alıyor
Kaspersky araştırmacıları alışılmadık türde bir macOS kötü amaçlı yazılımını ortaya çıkardı. Daha önce bilinmeyen korsan uygulamalar aracılığıyla gizlice dağıtılan bu kötü amaçlı yazılım ailesi, macOS kullanıcılarının dijital cüzdanlarında saklanan kripto para birimlerini çalmayı amaçlıyor. Daha önce Kaspersky tarafından keşfedilen proxy Truva atlarının aksine, bu yeni tehdit kullanıcıları tehlikeye atmaya odaklanıyor.
Yeni keşfedilen Truva Atı iki açıdan benzersiz özelliklere sahiptir. İlk olarak, kötü amaçlı Python komut dosyalarını yürütmek için DNS kayıtlarını kullanır. İkincisi yalnızca kripto cüzdanlarını çalmakla kalmıyor, aynı zamanda cüzdan uygulamasını kendi virüslü sürümüyle değiştiriyor. Bu aynı zamanda cüzdanlarda saklanan kripto para birimine erişim için kullanılan gizli kelimenin çalınmasına da yol açıyor.
Kötü amaçlı yazılım, macOS 13.6 ve üzeri sürümleri hedef alıyor ve özellikle hem Intel hem de Apple Silicon çalıştıran cihazlardaki daha yeni işletim sistemi sürümlerinin kullanıcılarını hedef alıyor gibi görünüyor. Güvenliği ihlal edilmiş disk görüntüleri bir etkinleştirici ve istenen uygulamayı içerir. İlk bakışta zararsız gibi görünen aktivatör, kullanıcı şifresini girdikten sonra ele geçirilen uygulamayı aktif hale getiriyor.
Saldırganlar, uygulamanın önceden güvenliği ihlal edilmiş sürümlerini kullanarak, kullanıcı etkinleştiriciyi çalıştırana kadar yürütülebilir belgeleri işlevsiz hale getirecek şekilde değiştirir. Bu taktik, kullanıcının tehlikeye atılan uygulamayı bilmeden etkinleştirmesine olanak tanır.
Yamadan sonra, kötü amaçlı yazılım, kötü amaçlı etki alanı için bir DNS TXT kaydı alıp Python betiğinin şifresini buradan çözerek birincil yükünü çalıştırır. Komut dosyası daha sonra enfeksiyon zincirindeki bir sonraki adımı, yani yine bir Python komut dosyasını indirmeye çalışır.
Bir sonraki yükün amacı sunucudan alınan rastgele komutları yürütmektir. Soruşturma sırasında herhangi bir komut alınmamasına ve arka kapının sistematik olarak güncellenmesine rağmen, kötü amaçlı yazılım kampanyasının halen geliştirilmeye devam edildiği açıkça görülüyor. Kodların incelenmesi, ilgili komutların muhtemelen sabit kodlanmış Python komut dosyaları olduğunu göstermektedir.
Bahsedilen fonksiyonların dışında script, apple-analyzer[.]com domaini de dahil olmak üzere iki önemli özelliği bünyesinde barındırıyor. Her iki işlev de kripto para cüzdanı uygulamalarının varlığını kontrol etmeyi ve bunları belirtilen alandan indirilen sürümlerle değiştirmeyi amaçlamaktadır. Bu taktiğin hem Bitcoin hem de Exodus cüzdanlarını hedef aldığı ve bu uygulamaları kötü niyetli uygulamalarla değiştirdiği gözlemlendi.
Kaspersky Güvenlik Araştırmacısı Sergey Puzan, söz konusu: “Korsan yazılımlara maruz kalan MacOS kötü amaçlı yazılımları, bu alandaki önemli risklerin altını çiziyor. Siber suçlular, kullanıcıların bilgisayarlarına kolayca erişmek ve onları şifre girmeye zorlayarak yönetici ayrıcalıkları kazanmak için korsan uygulamalar kullanıyor. Saldırganlar, DNS sunucusunda bir Python betiğini saklayarak alışılmadık bir yaratıcılık sergilediler. kayıt.” “Bu da ağ trafiğinde kötü amaçlı yazılımların engellenme düzeyini artırıyor. Kullanıcılar özellikle kripto para cüzdanları konusunda daha dikkatli olmalı. Şüpheli sitelerden belge indirmekten kaçının ve daha iyi koruma için güvenli siber güvenlik çözümleri kullanın.”
Securelist.com adresinden kripto Truva atları ve macOS için arka kapılar hakkında daha fazla bilgi edinebilirsiniz.
Kaspersky araştırmacıları Truva atlarına karşı güvende kalmak ve kripto varlıklarınızı korumak için aşağıdaki önlemleri almanızı öneriyor:
- Uygulamalarınızı yalnızca Apple App Store gibi resmi mağazalardan indirmeniz daha güvenlidir. Bu mağazalardaki uygulamalar %100 güvenli değil ama en azından mağaza yöneticileri tarafından kontrol ediliyor ve mutlaka filtreleme sistemleri var. Her uygulama bu mağazalara kolayca giremez.
- Güvenilir bir güvenlik çözümü yükleyin ve önerilerini izleyin. Sadık analiz, sorunların çoğunu otomatik olarak çözecek ve gerekirse sizi uyaracaktır.
- Güncellemeler kullanıma sunuldukça işletim sisteminizi ve değerli uygulamalarınızı güncelleyin. Yazılımın güncellenmiş sürümleri yüklenerek birçok güvenlik sorunu çözülebilir.
- Tohum cümlenizi güvence altına alın. Donanım cüzdanınızı ayarlarken tohum cümlenizi yazdığınızdan ve güvenli bir şekilde kaydettiğinizden emin olun. Kaspersky Premium gibi güvenli bir güvenlik çözümü, taşınabilir cihazınızda veya bilgisayarınızda depolanan kripto bilgilerinizi koruyacaktır.
- Güçlü parolalar kullanın: Kolayca tahmin edilebilecek parolalar kullanmaktan veya başka hesaplardaki parolaları yeniden kullanmaktan kaçının. Parolaları etkili ve güvenli bir şekilde yönetmek için Kaspersky Password Manager’ı kullanabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
